康奈爾大學說對抗樣本出門會失效，被OpenAI慫回來了！

看來，我們還是不能對對抗樣本問題掉以輕心。

上周，康奈爾大學的一篇論文表示，當圖像識別演算法應用於實際生活場景下（比如自動駕駛）時，可能不需要那麼擔心對抗樣本問題。他們做了一系列實驗，從不同角度和方向拍下受到干擾的停車標誌的圖片，將圖像進行識別，結果表明，現有的對抗性干擾只在特定場景下適用。

康奈爾大學最新研究：對抗性樣本是紙老虎，一出門就不好使！

而近日，針對康奈爾大學的論文，OpenAI表示，他們已經生成了一些圖像，當從不同大小和視角來觀察時，能可靠地愚弄神經網路識別器。評論編譯如下：

上圖是通過標準彩色印表機列印出的貓咪照片，不管將它怎麼縮放或旋轉，都能愚弄識別器，讓它認為圖片里的是顯示屏或台式電腦。這張圖在人眼看來有點失真，OpenAI期望進一步調整參數,生成人眼看起來自然，但能騙過機器的對抗樣本，這樣的樣本會有很高的危險性。

GIF/3K

現有的對抗樣本在圖像不斷變化的情況下失效了。上圖展示了同一張受到對抗干擾的小貓圖片，在經ImageNet訓練的Inception v3上會被錯誤地識別為台式電腦。但將圖片僅僅放大1.002倍，就會導致識別率的改變：正確標籤「小花貓」覆蓋了對抗標籤「台式電腦」。

不過他們猜想，經過一定的努力可能會生成一個具有魯棒性的對抗樣本，因為已經證實了對抗樣本能轉移到現實世界。下面是他們生成的兩個對抗樣本。

大小無關的對抗樣本

可以用一種稱為投影梯度下降法（projected gradient descent）的優化方法，來找到針對圖像的微小擾動，隨意的愚弄識別器來創建對抗樣本。

這種優化不是為了發現從單一視角具有對抗性的輸入圖像。在識別圖像之前，通過眾多隨機識別器隨意調整輸入圖像大小，通過對抗這樣眾多的輸入來優化，產生了大小無關的魯棒性對抗樣本。

GIF/3K

上圖中不斷調整圖片的大小，仍能穩定愚弄識別器。即使只去修改與貓相對應的像素，仍能創造出在所有大小下都具有對抗性的受干擾圖片。

變化無關的對抗樣本

通過對訓練干擾增加隨機旋轉、變化、縮放、噪音以及均值漂移，上面提到的方法同樣能產生在任何變化下都保持對抗性的輸入。

GIF/3K

上圖是變化無關的對抗樣本。值得注意的是，圖像顯然比前面的例子受到了更多干擾。得到這個結果很好解釋：微弱的對抗性干擾很難在經過多種不同的變換後還保持對抗性。

在實驗時，變化是隨機採樣的，這證明他們生成的樣本對所有變化都具有干擾性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！